根據調研機構IDC公司的數據,到2025年,全球產生的數據量將增長61%,達到175 ZB,其中49%的數據存儲在公共云環境中。這些數據并不局限于公共信息;2019年的《Netwix云計算數據安全報告》發現,云端通常用于存儲多種類型的數據,從不太敏感到極其關鍵的數據。然而,到目前為止,在云中存儲數據的組織中,有35%的組織在2019年至少遭遇了一次網絡安全事件,這意味著許多組織缺乏足夠的安全控制。人們需要了解一下存儲在云中的數據,以便確定保護這些資產的必要措施。
員工數據
根據Netwrix公司的研究,所有組織中有50%的員工將數據存儲在云中。在接受調查的25個行業中,將員工數據存儲在云中的前三類公司是科技公司、金融組織和教育機構。根據這項研究,57%的科技公司、50%的金融組織和38%的教育機構的員工將數據存儲在云中。金融組織將這些數據移至云中主要是為了確保遠程工作者的可用性,而科技公司和教育機構這樣做是為了提高效率,降低成本。
在過去的12個月中,這些組織中有35%經歷了網絡攻擊事件。安全事件背后的主要威脅模式是意外錯誤(16%)、惡意軟件(13%)和外部攻擊(12%)。但是,有52%的組織無法確定事件背后的原因,而有21%的組織將企業員工列為主要威脅因素。
為了更好地保護員工信息,41%的組織嘗試為云計算安全性提供足夠的預算,34%的組織需要定期的狀態報告。同時,只有20%的組織表示將員工信息存儲在云中增加了云安全預算。
客戶數據
就像員工信息一樣,50%的組織都將客戶數據存儲在云中。其中大多數是科技公司(62%),金融組織(46%)和醫療保健提供者(45%)。有趣的是,金融機構和科技公司將客戶數據移至云中以增強安全性,而醫療保健組織則更加關注成本效益。
在將客戶數據存儲在云中的組織中,有31%的組織在過去12個月中至少發生了一次安全事件。與客戶數據泄露相關的主要威脅模式是意外錯誤(13%)、外部攻擊(12%)、惡意軟件(9%)。不幸的是,有57%的組織無法確定是誰對事件負責。在那些可以識別威脅因素的人中,有14%的組織將安全事件歸咎于他們的云計算提供商。
在云中存儲客戶信息的組織的管理層主要通過要求定期狀態報告(26%)來支持云安全計劃。不幸的是,只有33%的受訪者表示,他們有足夠的預算來保護客戶數據(這是所有其他數據類型中最低的結果),22%的受訪者表示,他們的管理層沒有為云安全提供任何預算。
財務數據
26%的受訪組織將財務數據存儲在云中。根據Netwrix公司的研究,41%的金融機構、29%的醫療機構和21%的科技公司將這些敏感數據存儲在云中。金融機構主要將數據轉移到云端以確保遠程工作者的可用性,醫療機構為了降低成本,科技公司為了確保安全。
在所有將財務數據存儲在云中的受訪者中,有39%的組織表示在過去12個月中至少發生了一次安全事件,在所有數據類型中排名第二。他們報告的主要威脅模式是意外錯誤(18%)、惡意軟件(14%)和外部攻擊(12%)。不幸的是,幾乎一半的受訪者(49%)表示,他們無法確定安全事件真正歸咎于誰。那些可以識別威脅因素的組織(18%)表示是他們的企業用戶引起的。
與其他類型的數據相比,組織對保護云中的財務數據表現出更大的興趣:41%的企業準備為云安全分配預算,38%的企業需要定期狀態報告,還有27%的組織將保護支付數據作為未來增加云安全預算的理由。
知識產權(IP)的數據
Netwrix公司的調查發現,有16%的組織將知識產權(IP)數據存儲在云中。他們包括咨詢機構(41%)、科技公司(20%)和制造公司(20%)。出于安全考慮,咨詢機構和科技公司將知識產權(IP)數據選擇性地存儲在云中,而制造公司這樣做是為了確保遠程工作者的可用性。
知識產權(IP)數據通常是攻擊者的誘人目標,因為42%的公司表示,他們發生的安全事件導致知識產權(IP)的數據泄漏,這在所有類型的數據中結果最高。主要原因包括外部攻擊(22%),意外錯誤(19%)和惡意軟件(17%)。但是,將近45%的組織未能識別出事件背后的威脅因素。那些成功識別出威脅因素的組織將企業員工列為頭號威脅(24%)。
因為知識產權對企業具有巨大的價值,所以它極易受到安全威脅的攻擊。因此將知識產權(IP)的數據存儲在云中的公司比在云中存儲其他類型數據的企業擁有更主動的云安全方法。他們準備分配足夠的預算(43%),并投資于IT員工的教育(35%)。他們也最愿意增加云安全預算(29%)。
醫療保健數據
像任何其他特定行業的數據一樣,醫療保健數據與有限的受訪者相關。這些組織大多數在醫療保健、教育和技術領域運作。在接受調查的所有醫療保健組織中,幾乎有一半(49%)將個人健康信息和其他醫療保健數據存儲在云中,其次是15%的教育機構和13%的科技公司。醫療機構和教育機構出于成本效益而將這些數據移動到云中時,而科技公司這樣做是出于安全原因。
在過去的12個月中,有35%的組織發生了導致醫療保健數據泄露的事件。數據泄露事件背后的主要威脅模式是外部攻擊(20%)、意外錯誤(19%)和惡意軟件(14%)。不幸的是,大多數(56%)組織表示不知道誰應對安全事件負責。那些能夠識別威脅因素的組織(19%)表示,企業員工是數據泄露事件的主要因素。
為了確保云中醫療保健數據的安全性,組織需要定期狀態報告(46%),以及分配足夠的預算(41%)。此外,還有22%的組織準備增加云安全預算。
數據分類可以減輕安全風險嗎?
分析人員表示,數據分類使組織能夠減輕安全風險,并更好地保護其敏感數據。例如,Gartner公司表示,“數據分類還使組織能夠將其安全性和合規性工作集中在敏感信息上,標準化和應用與風險相稱的控制措施,并在業務流程中簡化這些活動。”
不幸的是,超過60%的組織(無論他們存儲在云中的數據類型是什么)都表示他們沒有對所有數據進行分類,這使他們容易受到安全風險的影響。
Netwrix公司的調查報告發現,數據分類與較少的安全事件之間有很強的相關性。未分類數據的組織中有40%以上遭受安全事件的困擾;對于進行分類的組織來說,數據分類將安全事件發生率降低了一半。
顯然,組織不會平等對待所有數據。由于知識產權(IP)的數據和財務數據的安全性通常與戰略決策和業務增長相關聯,因此組織準備分配大量預算來保護它。但是,盡管合規性法規可以使組織對客戶數據的安全性和私密性承擔更大的責任,但他們通常沒有對投資保護客戶數據做好準備。
同樣清楚的是,許多組織缺乏確定誰對其云計算環境構成最大威脅并適當調查事件所需的可見性。為了減輕安全風險,需要了解云中包含哪些數據以及哪些資產最敏感,這將幫助組織實施適當的控制措施進行保護。
京公網安備 11010502049343號